TOPページ >
情報システムの脆弱性・脅威分析 > リスクの特定(脆弱性・脅威の検出)
リスクの特定(脆弱性・脅威の検出)
達成指標
- リスクに関する調査情報が正確、かつ完全なものであること
- 情報源および要求の把握が適切な方法論を用いてなされていること
- 現状の脆弱性および脅威に関する情報が網羅的に収集されていること
- 収集された情報が、情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ちなどの分類項目で整理されていること
- 脅威に関しては、IT資産に損害を与える人物、イベント、災害などに関して分析を行うこと
- 資産評価を行ったIT資産に対し、現状のリスクが識別されていること
- リスクの発生し得る場所(サーバ、クライアント、ネットワーク、ルータ、ソフトウェア、開発ツール、記録媒体など)および発生時期(勤務時間、勤務時間外、平日、休日または定休日、緊急対応時、対外説明時など)が整理されていること
- リスクの原因が、物理的な要因、技術的な要因、人的な要因で整理されていること
要求される知識
- 情報収集の手法、手順、実践に関する知識
- IT資産が関係した事件・事故の事例に関する知識
- リスクの種類、原因および評価に関する知識
- 情報システムおよびネットワークのアーキテクチャ、技術と運用、ハードウェア、ソフトウェアに関する知識
- IT資産に関する知識
要求される技能
- IT資産損失の損害(失われた資産価値、原因究明および復旧費用、社会的説明費用)を算定・評価する能力
- 調査に関する目標とスコープを設定する能力
- 企業のIT資産に関して漏れなくリスクを列挙する能力
- 合理的にIT資産とリスクを関係付けて整理する能力
- 継続的に情報収集を行う能力
- 合理的に脅威を把握する能力
リスクの特定(脆弱性・脅威の検出) 分野の演習問題